2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
Facebook報(bào)告了一起重大安全漏洞,其中有5000萬(wàn)用戶帳戶被未知攻擊者訪問(wèn)。
Facebook表示,攻擊者通過(guò)竊取公司用來(lái)保持用戶登錄的數(shù)字密鑰,獲得了“控制”這些用戶帳戶的能力。他們可以通過(guò)利用Facebook代碼中的三個(gè)不同錯(cuò)誤來(lái)實(shí)現(xiàn)這一目標(biāo)。
該公司表示已經(jīng)修復(fù)了這些漏洞并登出了5000萬(wàn)用戶 - 另外還有4千萬(wàn)易受攻擊的用戶 - 以便重置這些數(shù)字密鑰。用戶不需要更改他們的Facebook密碼,它說(shuō)。
Facebook表示,它不知道攻擊的背后是誰(shuí)或他們所在的位置。在周五與記者的電話會(huì)議上,首席執(zhí)行官馬克扎克伯格(他自己的帳戶遭到入侵)表示,攻擊者可以查看私人消息或發(fā)布某人的帳戶,但沒(méi)有跡象表明他們這樣做了。
“我們還不知道是否有任何賬戶被濫用,”扎克伯格說(shuō)。
在動(dòng)蕩的安全問(wèn)題和隱私問(wèn)題的一年中,黑客是Facebook的最新挫折。但到目前為止,這些問(wèn)題都沒(méi)有嚴(yán)重影響該公司20億全球用戶的信心。
這個(gè)最新的黑客攻擊涉及Facebook的“查看為”功能中的錯(cuò)誤,該功能讓人們可以看到他們的個(gè)人資料對(duì)他人的看法。攻擊者利用該漏洞從使用“查看為”功能搜索其個(gè)人資料的人的帳戶中竊取數(shù)字密鑰,稱為“訪問(wèn)令牌”。然后攻擊從一個(gè)用戶的Facebook好友移動(dòng)到另一個(gè)用戶。擁有這些令牌將允許攻擊者控制這些帳戶。
Facebook產(chǎn)品管理副總裁蓋伊羅森說(shuō),其中一個(gè)漏洞已經(jīng)超過(guò)一年,影響了“查看為”功能如何與Facebook的視頻上傳功能相互作用,以發(fā)布“生日快樂(lè)”消息。但直到9月中旬,F(xiàn)acebook才發(fā)現(xiàn)異常活動(dòng)有所增加,而且直到本周才知道這次襲擊事件,羅森說(shuō)。
羅森在與記者的電話中表示,“我們尚無(wú)法確定特定賬戶是否存在特定目標(biāo)”。“它確實(shí)看起來(lái)很廣泛。我們還不知道這些攻擊的背后是誰(shuí)以及他們可能在哪里。”
羅森說(shuō),密碼和信用卡數(shù)據(jù)都沒(méi)有被盜。他說(shuō),該公司已向美國(guó)和歐洲的聯(lián)邦調(diào)查局和監(jiān)管機(jī)構(gòu)發(fā)出警告。
Rendition Infosec的安全專家Jake Williams表示,他擔(dān)心黑客可能會(huì)影響第三方應(yīng)用程序。
威廉姆斯指出,該公司的“Facebook登錄”功能允許用戶使用他們的Facebook憑據(jù)登錄其他應(yīng)用程序和網(wǎng)站。“這些被盜的訪問(wèn)令牌顯示用戶登錄Facebook時(shí)可能足以訪問(wèn)第三方網(wǎng)站上的用戶帳戶,”他說(shuō)。
Facebook周五晚間證實(shí),第三方應(yīng)用程序以及自己的Instagram應(yīng)用程序可能已受到影響。
“這個(gè)漏洞存在于Facebook上,但是這些訪問(wèn)令牌使得某人可以像使用帳戶一樣使用該帳戶,”羅森說(shuō)。
今年早些時(shí)候有消息稱,曾在特朗普活動(dòng)中使用的數(shù)據(jù)分析公司Cambridge Analytica不正當(dāng)?shù)貜臄?shù)百萬(wàn)用戶檔案中獲取了個(gè)人數(shù)據(jù)。然后國(guó)會(huì)調(diào)查發(fā)現(xiàn),至少自2016年以來(lái),來(lái)自俄羅斯和其他國(guó)家的代理商一直在發(fā)布假政治廣告。四月,扎克伯格出席了一場(chǎng)專注于Facebook隱私實(shí)踐的國(guó)會(huì)聽(tīng)證會(huì)。
Facebook漏洞讓人回想起對(duì)雅虎的更大攻擊,攻擊者攻擊了30億個(gè)賬戶 - 足以占據(jù)全球一半人口的一半。就雅虎而言,被盜信息包括姓名,電子郵件地址,電話號(hào)碼,出生日期和安全問(wèn)題及答案。這是多年來(lái)一系列雅虎黑客行為之一。
美國(guó)檢察官后來(lái)指責(zé)俄羅斯特工利用他們從雅虎竊取的信息來(lái)監(jiān)視俄羅斯記者,美國(guó)和俄羅斯政府官員以及金融服務(wù)和其他私營(yíng)企業(yè)的雇員。
約翰斯·霍普金斯大學(xué)(Johns Hopkins University)教授托馬斯·里德(Thomas Rid)表示,在Facebook的案例中,要知道攻擊者的復(fù)雜程度以及他們是否與一個(gè)民族國(guó)家有關(guān),可能為時(shí)尚早。Rid說(shuō)它也可能是垃圾郵件發(fā)送者或罪犯。
“我們?cè)谶@里看到的任何東西都不是那么復(fù)雜,需要一個(gè)州演員,”里德說(shuō)。“對(duì)于任何情報(bào)機(jī)構(gòu)來(lái)說(shuō),五千萬(wàn)個(gè)隨機(jī)Facebook帳戶都不是很有趣。”
消費(fèi)者權(quán)益組織美國(guó)PIRG的高級(jí)主管埃德·米爾茲溫斯基(Ed Mierzwinski)表示,這一違規(guī)行為“非常令人不安”。
“這是另一個(gè)警告,國(guó)會(huì)不得制定任何國(guó)家數(shù)據(jù)安全或數(shù)據(jù)泄露立法,削弱現(xiàn)行的國(guó)家隱私法,先發(fā)制人的權(quán)利,通過(guò)新的法律,以更好地保護(hù)他們的消費(fèi)者,或否認(rèn)他們的律師調(diào)查的一般權(quán)利違反或執(zhí)行這些法律,“他在一份聲明中說(shuō)。
Wedbush分析師Michael Pachter表示,“最重要的一點(diǎn)是我們從他們身上發(fā)現(xiàn)了”,這意味著Facebook,而不是第三方。
“作為用戶,我希望Facebook主動(dòng)保護(hù)我的數(shù)據(jù),讓我知道什么時(shí)候它被泄露,”他說(shuō)。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。